Cloud Firewall:NAT ファイアウォール

次のビデオチュートリアルでは、NAT ゲートウェイの NAT ファイアウォールを有効にする方法を順を追って説明します。

機能の説明

前提条件

• Cloud Firewall がアクティブ化され、NAT ファイアウォール用に十分なクォータが購入されていること。 詳細については、「Cloud Firewall の購入」をご参照ください。

• インターネット NAT ゲートウェイが作成されていること。 詳細については、「インターネット NAT ゲートウェイの作成と管理」をご参照ください。

  重要

  NAT ファイアウォール機能は、インターネット NAT ゲートウェイのみをサポートします。

  インターネット NAT ゲートウェイは、次の要件を満たしている必要があります。

  • インターネット NAT ゲートウェイは、NAT ファイアウォール機能が利用可能なリージョンにあること。 NAT ファイアウォール機能が利用可能なリージョンの詳細については、「サポートされているリージョン」をご参照ください。

  • 少なくとも 1 つの EIP がインターネット NAT ゲートウェイに関連付けられており、NAT ゲートウェイに関連付けられている EIP の数が 10 以下であること。 詳細については、「インターネット NAT ゲートウェイの作成と管理」をご参照ください。

  • SNAT エントリが作成され、インターネット NAT ゲートウェイに DNAT エントリが存在しないこと。 詳細については、「SNAT エントリの作成と管理」をご参照ください。

    インターネット NAT ゲートウェイに DNAT エントリが存在する場合は、NAT ファイアウォールを有効にする前に、DNAT エントリを削除する必要があります。 詳細については、「DNAT エントリの作成と管理」をご参照ください。

  • インターネット NAT ゲートウェイを指す 0.0.0.0 ルートが、インターネット NAT ゲートウェイの VPC に追加されていること。 詳細については、「ルートテーブルの作成と管理」をご参照ください。

  • インターネット NAT ゲートウェイに割り当てられている CIDR ブロックのサブネットマスクの長さが少なくとも 28 ビットであること。 VPC のセカンダリ CIDR ブロックもサポートされています。

NAT ファイアウォールを作成して有効にする

このセクションでは、NAT ファイアウォールを作成する方法について説明します。 NAT ゲートウェイごとに NAT ファイアウォールを作成できます。

使用上の注意

• 新しい NAT ゲートウェイに関する情報を NAT ファイアウォール機能に同期するには、約 1 ～ 5 分かかります。

• NAT ゲートウェイに関連付けられている EIP と NAT ゲートウェイで構成されている SNAT エントリを NAT ファイアウォール機能に同期するには、約 1 ～ 2 分かかります。 EIP と SNAT エントリは、同期が完了するまで有効になりません。

  Synchronize Assets をクリックして、ファイアウォールスイッチ > インターネットボーダー タブで EIP の数と SNAT エントリを手動で同期することもできます。

• NAT ゲートウェイを指すルートを NAT ファイアウォール機能に同期するには、30 分かかります。

  Synchronize Assets をクリックして、ファイアウォールスイッチ > [NAT ファイアウォール] タブでルートを手動で同期することもできます。

• NAT ファイアウォールを作成すると、Cloud Firewall は次の操作を実行します。

  • NAT ゲートウェイを指す 0.0.0.0/0 ルートを、NAT ファイアウォール用に作成された vSwitch のルートテーブルに追加します。

  • システムルートテーブルの 0.0.0.0/0 ルートを変更して、ネクストホップを Cloud Firewall の ENI に向けます。

  説明

  NAT ファイアウォールを作成すると、Cloud Firewall は NAT ファイアウォールの VPC にカスタムルートテーブルを作成します。 Flannel ネットワークプラグインを使用する Container Service for Kubernetes (ACK) クラスタが VPC にデプロイされている場合は、NAT ファイアウォールを作成した後にクラウドコントローラマネージャ (CCM) を使用して VPC のシステムルートテーブルを追加することにより、VPC 用に複数のルートテーブルを構成する必要があります。 そうしないと、クラスタのノードスケールアウト操作に影響を与える可能性があります。 詳細については、「VPC 用に複数のルートテーブルを構成する」をご参照ください。

  CCM を使用して NAT ファイアウォールの VPC 用に複数のルートテーブルを既に構成している場合は、この注意は無視してください。

手順

1. Cloud Firewall コンソール にログインします。 左側のナビゲーションウィンドウで、ファイアウォールスイッチ をクリックします。

2. NAT Firewall タブをクリックします。 [NAT ファイアウォール] タブで、必要な NAT ゲートウェイを見つけ、Create操作する 列の をクリックします。

3. NAT ファイアウォールの作成 パネルで、自動チェック ステップの ワンクリックでチェック開始 をクリックします。 チェックが完了し、すべての診断項目に合格したら、次へ をクリックします。

   NAT ゲートウェイが NAT ファイアウォールを作成するために必要なすべての条件を満たしていることを確認したら、Skip and start creation now. をクリックします。

4. トラフィックリダイレクトモード ステップで、トラフィックリダイレクトモード パラメータを構成します。 次のトラフィックリダイレクトモードがサポートされています。

   • vSwitch を自動的に作成: このオプションは、予約済みの CIDR ブロックが十分にあるシナリオに適しています。 このオプションを選択すると、トラフィックは自動的にリダイレクトされます。

   • vSwitch を手動で選択: このオプションは、予約済みの CIDR ブロックが不十分なシナリオに適しています。 このオプションを選択した場合は、既存の vSwitch の CIDR ブロックを指定するか、vSwitch を手動で作成する必要があります。 構成は複雑で、専門の担当者が必要です。

5. ファイアウォールの作成 ステップで、次のパラメータを構成します。

   パラメータ		説明
   基本情報	名前	NAT ファイアウォールの名前を入力します。
   ファイアウォールへの切り替え設定	ルートテーブルの選択	ネクストホップが NAT ゲートウェイであるルートテーブルを選択します。 システムは、Cloud Firewall 用に作成されたルートテーブルにネクストホップを自動的に変更します。 このようにして、内部資産宛てのトラフィックのネクストホップは NAT ファイアウォールを指します。
   	トラフィックリダイレクト用の VSwitch (vSwitch を自動的に作成) または VSwitch CIDR ブロック (vSwitch を手動で選択)	新しい vSwitch を 作成 するか、既存の vSwitch を選択できます。 vSwitch の CIDR ブロックを作成する場合の使用上の注意: トラフィックリダイレクトのために、vSwitch の CIDR ブロックを NAT ファイアウォールに割り当てる必要があります。 CIDR ブロックのサブネットマスクの長さは少なくとも 28 ビットで、ネットワーク計画と競合してはなりません。 vSwitch の CIDR ブロックは、VPC に割り当てられている CIDR ブロックのサブネットであり、現在のサービス CIDR ブロックと競合してはなりません。 VPC のセカンダリ CIDR ブロックもサポートされています。 vSwitch の CIDR ブロックを割り当てると、Cloud Firewall は自動的に vSwitch をカスタムルートテーブルに関連付けます。 既存の vSwitch を選択する場合の使用上の注意: NAT ファイアウォールには、次の要件を満たす vSwitch が必要です。 詳細については、「VPC の作成と管理」をご参照ください。 vSwitch、NAT ゲートウェイ、および NAT ファイアウォールは、同じ VPC にデプロイする必要があります。 vSwitch は、NAT ゲートウェイと同じゾーンに存在する必要があります。 vSwitch の CIDR ブロックのサブネットマスクの長さは少なくとも 28 ビットで、CIDR ブロック内の使用可能な IP アドレスの数は、NAT ゲートウェイの SNAT エントリで指定されている EIP の数よりも大きい必要があります。 他のクラウドリソースは vSwitch に接続されていません。 ルートテーブルを作成し、ルートテーブルを vSwitch に関連付けます。 詳細については、「ルートテーブルの作成と管理」をご参照ください。 オプション。 ビジネス要件に基づいて、0.0.0.0/0 エントリ以外のカスタムルートをルートテーブルに追加します。 詳細については、「カスタムルートテーブルを使用してネットワークトラフィックを管理する」をご参照ください。 たとえば、ワークロードで VPC 間の通信が必要な場合は、VPC のバックホールルートをルートテーブルに手動で追加する必要があります。 説明 ドロップダウンリストに vSwitch が表示されない場合、または必要な vSwitch が選択不可になっている場合は、vSwitch が他のクラウドリソースに関連付けられているかどうか、および vSwitch がカスタムルートテーブルに関連付けられているかどうかを確認します。 vSwitch を指定した後、NAT Firewall タブの右上隅にある Synchronize Assets をクリックできます。
   エンジンモード	エンジンモード	注: CDN を使用してメディア配信をさらに最適化することもできます。 緩いモード (デフォルト): アプリケーションの種類またはドメイン名が不明として識別されるトラフィックは、通常のアクセスを確保するために許可されます。 厳密モード: アプリケーションの種類またはドメイン名が不明として識別されるトラフィックは、設定したすべてのポリシーによって処理されます。拒否ポリシーを設定した場合、トラフィックは拒否されます。

6. [上記の注意事項を読み終えました] を選択し、[ファイアウォールを有効にする] をクリックします。

7. NAT ファイアウォールが作成された後、[ステータス] を手動でオンにする必要があります。

   次のセクションでは、各デプロイ オプションについて詳しく説明します。

次の手順

NAT ファイアウォール を有効にした後、NAT ファイアウォール のアクセス制御ポリシーを設定し、監査ログを表示して、非公開アセットから発信されインターネット宛てのトラフィックを制御できます。

NAT ファイアウォールの無効化と削除

• NAT ファイアウォールを無効にする

  ファイアウォールスイッチ > NAT Firewall タブに移動し、無効にする NAT ファイアウォールを探し、スイッチ 列のスイッチをオフにします。

• NAT ファイアウォールを削除する

  ファイアウォールスイッチ > NAT Firewall タブに移動し、削除する NAT ファイアウォールを探し、操作する 列の Delete アイコンをクリックし、 をクリックします。

参照資料

• 内部向けアセットから指定のドメイン名へのトラフィックを管理する方法の詳細については、「内部向けサーバーのみが指定のドメイン名にアクセスできるようにポリシーを設定する」をご参照ください。

• NAT ファイアウォールのトラフィックログを表示する方法の詳細については、「ログ監査」をご参照ください。

• インターネットファイアウォールの詳細については、以下のトピックをご参照ください。

  • NAT ファイアウォールを有効にするとどのような影響がありますか?

  • NAT ファイアウォールを有効にした後、Cloud Firewall がルートテーブルを作成し、静的ルート 0.0.0.0/0 をルートテーブルに追加するのはなぜですか?

  • Cloud Firewall は、インターネットファイアウォール、NAT ファイアウォール、および DNS ファイアウォールのアクセス制御ポリシーとアウトバウンドトラフィックをどのように照合しますか?

  • NAT ファイアウォールのアクセス制御ポリシーを設定した後も、関連する ECS インスタンスは引き続き telnet コマンドを実行して他のドメイン名にアクセスできます。なぜですか?